Des applications Android accédaient à votre caméra sans permission

Une vulnérabilité a été découverte dans plusieurs modèles de smartphones Android fabriqués par Google, Samsung et d’autres compagnies. Cette faille permet à des applications malveillantes de prendre des photos et d’enregistrer des vidéos même si elles n’ont pas les permissions requises pour faire cela.

Les chercheurs de Checkmarx ont découvert que cette vulnérabilité (CVE-2019-2234) se trouve dans les applications de caméras pré-installées sur des millions d’appareils Android. Les pirates peuvent contourner les restrictions et accéder à la caméra et au micro.

Comment les pirates peuvent exploiter cette vulnérabilité Android?

Le scénario d’attaque nécessite une application Android malveillante qui a seulement besoin d’accéder au stockage de l’appareil, l’une des permissions les plus courantes qui n’éveille pas les soupçons.

Selon les chercheurs, en manipulant spécifiquement les “actions et intentions“, une application Android malveillante peut pousser les applications de caméras vulnérables à exécuter des actions ordonnées par le hacker. Il peut ensuite dérober les photos et les vidéos depuis la mémoire de l’appareil.

Comme les applications de caméras de smartphone Android ont accès aux permissions requises, la faille permet aux hackers de prendre des photos, enregistrer des vidéos, écouter des conversations et pirater la localisation de la victime. Tout cela même si le téléphone est verrouillé, l’écran est éteint ou l’application est arrêté.

“Après une analyse détaillée de l’application caméra de Google, notre équipe a découvert qu’en manipulant certaines ‘actions et intentions’, un pirate peut contrôler l’application Android pour prendre des photos et/ou enregistrer des vidéos en utilisant une application malveillante qui n’a pas ces permissions,” a écrit Checkmarx dans un communiqué.

“De plus, nous avons découvert que certains scénarios d’attaque permettent aux individus malveillants de contourner les stratégies de permissions, leur donnant accès aux vidéos et photos stockées, ainsi que les métadonnées GPS intégrées dans les photos pour localiser l’utilisateur en analysant les données EXIF. La même technique s’applique aussi à l’application Caméra de Samsung.”

android

Pour démontrer le risque de la vulnérabilité qui affectent les utilisateurs d’Android, les chercheurs ont créé une preuve de concept qui se fait passer pour une application météo qui demande des permissions basiques de stockage.

La preuve de concept nécessite deux choses – l’application client qui s’exécute sur les appareils Android et un serveur command-and-control contrôlé par le pirate.

L’application Android malveillante conçue par les chercheurs a été capable d’exécuter une longue liste de tâche:

  • Forcer l’application de caméra à prendre des photos et enregistrer des vidéos et les envoyer vers le serveur C&C.
  • Récupérer les métadonnées GPS intégrées dans les photos et vidéos stockées sur le téléphone pour localiser l’utilisateur.
  • Attendre un appel et enregistrer automatiquement l’audio des deux partis de la conversation et la vidéo depuis le côté de la victime.
  • Agir en mode furtif tout en prenant des photos et enregistrer des vidéos, aucun son n’alerte l’utilisateur.

Publication de vulnérabilité et disponibilité de patch

L’équipe de chercheur de Checkmarx a reporté ses trouvailles à Google au début du mois de Juillet en partageant la preuve de concept et une vidéo démontrant un scénario d’attaque.

Google a confirmé et adressé la vulnérabilité dans ses smartphones Pixel avec une mise à jour de caméra qui a été rendue disponible en Juillet. Le géant américain a aussi contacté d’autres fabricants de smartphones Android à la fin du mois d’Août pour les informer du problème.

Cependant Google n’a pas divulgué les noms des fabricants et des modèles affectés.

Checkmarx a aussi reporté la faille à Samsung car leur application de caméra était affectée. Samsung a confirmé et patché le problème à la fin du mois d’Août 2019.

Pour vous protégez de ces attaques, assurez-vous que vous utilisez la dernière version de l’application de caméra sur votre smartphone Android. Il est aussi recommandé d’utiliser la dernière version du système d’exploitation Android et de régulièrement mettre à jour les applications installées sur votre smartphone.

Si cet article vous a plu, jetez un œil à notre précédent article.